Una investigación de Kaspersky revela una ofensiva coordinada del grupo “Mysterious Elephant”, que busca infiltrarse en redes institucionales y robar información sensible de empresas y gobiernos.
El uso de WhatsApp para compartir información laboral o institucional confidencial se ha convertido en un nuevo blanco para actores de ciberamenazas dirigidas. A principios de 2025, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificó una campaña del grupo conocido como “Mysterious Elephant”, clasificado como APT (Amenaza Persistente Avanzada), que busca infiltrarse en redes institucionales y gubernamentales para robar documentos, imágenes, archivos comprimidos y otros datos compartidos desde equipos comprometidos mediante esta aplicación de mensajería.
La investigación aclara que los atacantes no vulneran los servidores ni la aplicación de WhatsApp. Su estrategia consiste en comprometer los equipos de las víctimas, por ejemplo, computadores de trabajo, y desde ahí localizar y extraer archivos que los usuarios han enviado o recibido a través de WhatsApp Desktop o el navegador.
La filtración de información fuera de los canales corporativos puede tener un impacto profundo en las organizaciones, ya que no solo compromete la seguridad de los datos, sino también su reputación, estabilidad operativa y relaciones con terceros. Cuando los atacantes logran infiltrarse, pueden permanecer ocultos durante largos periodos, recopilando documentos, credenciales y archivos sensibles compartidos a través de herramientas cotidianas como aplicaciones de mensajería o navegadores. Este tipo de brechas puede derivar en pérdidas económicas, exposición de información estratégica y daños de confianza difíciles de revertir, especialmente cuando la fuga involucra materiales críticos o confidenciales.
Los expertos de Kaspersky describen un cambio en las tácticas, técnicas y procedimientos de Mysterious Elephant. El grupo combina el desarrollo de herramientas propias con componentes de código abierto modificados. Para obtener acceso inicial a las redes, los atacantes emplean técnicas de ingeniería social, como correos electrónicos personalizados o spear-phishing, y documentos infectados que descargan cargas maliciosas al abrirse. Una vez dentro, utilizan una cadena de herramientas para elevar privilegios, desplazarse entre sistemas y extraer datos.
Entre las técnicas detectadas se encuentra el uso de scripts de PowerShell, una herramienta legítima de Windows que los atacantes aprovechan para ejecutar órdenes en los equipos infectados y descargar otros programas sin levantar sospechas. Estos scripts se conectan con los servidores controlados por los delincuentes para mantener el acceso y pasar inadvertidos.
Una de las herramientas más usadas por el grupo, llamada BabShell, funciona como una puerta de acceso remota: establece una conexión directa entre el computador afectado y los atacantes, permitiéndoles controlar el equipo a distancia. Con ella, pueden recolectar datos básicos, como el nombre del usuario o del equipo, y ejecutar nuevas instrucciones o programas maliciosos.
BabShell también se utiliza para activar componentes más avanzados, como MemLoader HidenDesk, un programa que ejecuta código dañino directamente en la memoria del sistema, sin dejar rastros visibles en el disco. Este tipo de herramientas está diseñado para ocultar su actividad y mantener el control de las máquinas comprometidas durante más tiempo.
“La operación de este grupo está pensada para pasar desapercibida y mantenerse activa incluso cuando se intenta detenerla. Su infraestructura cambia constantemente, se adapta con rapidez y dificulta el rastreo por parte de los equipos de seguridad”, explicó Fabio Assolini, director de Investigación y Análisis para América Latina en Kaspersky. “Esto genera un escenario complejo porque los atacantes pueden permanecer dentro de las redes durante largos periodos sin ser detectados. Al mismo tiempo, aprovechan canales de uso cotidiano, como las aplicaciones de mensajería, para extraer información sin levantar sospechas. El verdadero riesgo no solo está en el robo de datos, sino en la pérdida de control y visibilidad sobre lo que ocurre dentro del entorno digital de una institución”.
Para mitigar o prevenir ataques similares, los expertos de Kaspersky recomiendan:
- Fortalece la protección del correo y la verificación de mensajes. La mayoría de los ataques comienza con correos falsos o documentos maliciosos diseñados para engañar a los empleados y conseguir acceso inicial a la red. Implementar filtros antiphishing y revisar enlaces sospechosos es clave para cortar el ataque antes de que empiece.
- Protege los dispositivos y el uso de mensajería. Los atacantes buscan archivos sensibles dentro de los equipos comprometidos, incluso los compartidos por herramientas como WhatsApp Desktop. Es fundamental evitar el intercambio de información confidencial por canales no corporativos, mantener los equipos actualizados y aplicar políticas claras sobre el uso de dispositivos personales.
- Fortalecer la cultura de seguridad. La capacitación regular de los empleados ayuda a identificar correos falsos, mensajes engañosos y comportamientos sospechosos. Un personal informado puede actuar como la primera línea de defensa frente a los intentos de infiltración.
- Incorporar soluciones con visión integral. La línea Kaspersky Next combina protección en tiempo real con capacidades avanzadas de detección, investigación y respuesta ante incidentes (EDR y XDR). Su enfoque adaptable permite cubrir desde pequeñas empresas hasta grandes organizaciones con necesidades más complejas.
- Aprovechar la inteligencia sobre amenazas. Las herramientas de Kaspersky Threat Intelligence ofrecen información detallada y actualizada sobre los ataques más recientes, ayudando a los equipos de seguridad a anticiparse, contextualizar riesgos y tomar decisiones informadas en cada fase del ciclo de incidentes.
Para más información sobre cómo proteger la seguridad empresarial, visita nuestro blog.
